2013年11月18日初版公開
概要:
PHP CGI の脆弱性(CVE-2012-1823)を狙った新たな攻撃が発生しました。この脆弱性は、PHP を CGI モードで動作させた場合に影響を受けます。新たな攻撃は PHP の cgi.force_redirect と cgi.redirect_status_env ディレクティブを操作することで、PHP のセキュリティチェックを回避し、Webサーバの実行権限で任意の PHP スクリプトコードを実行することが可能です。また、この攻撃は PHP CGI を直接攻撃するため、PHP コンテンツが無くても攻撃することが可能です。
影響を受けるシステム:
PHP 5.4.2 より以前のバージョン
PHP 5.3.12 より以前のバージョン
対策:
The PHP Group が提供する情報(http://www.php.net/)をもとに、最新版へアップデートしてください。
参考情報:
日立システムズは、システムのコンサルティングから構築、導入、運用、そして保守まで、ITライフサイクルの全領域をカバーした真のワンストップサービスを提供します。